Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

domingo, 29 de noviembre de 2009

JustExploit. Nuevo Exploit Kit que explota Java

La industria del crimeware sigue en constante aumento y del mismo modo la comercialización clandestina de aplicaciones web que buscan automatizar los procesos de infección a través de la explotación de vulnerabilidades.

En esta oportunidad, la propuesta se llama JustExploit. Se trata de un nuevo Exploit Pack de origen ruso que posee un condimento que cada vez está siendo tenido en cuenta con mayor fuerza entre los desarrolladores de crimeware: la explotación de vulnerabilidades en Java. Es decir, además de explotar las vulnerabilidades conocidas para MDAC y archivos PDF, explota Java en todos aquellos equipos que tengan instalado su runtime.

La captura corresponde al módulo de estadística (Inteligencia) donde claramente se observa que desde esta aplicación se está controlando un número importante de equipos que utilizan diferentes navegadores y diferentes sistemas operativos, entre los cuales se encuentra el flamante Windows Seven.

Otro dato interesante que se desprende de este módulo, es el alto índice de efectividad que posee la explotación de la vulnerabilidad en Java, teniendo, incluso, un mayor nivel de éxito con respecto a las otras dos vulnerabilidades (MDAC y PDF).

A través de un archivo "index.php" que posee un script ofuscado, JustExploit intenta ejecutar tres exploits para las vulnerabilidades CVE-2008-2992, CVE-2009-0927 y CVE-2008-5353. A continuación vemos parte del script.

Entre los archivos que se descargan, se encuentra el que explota Java, llamado sdfg.jar, con una tasa de detección baja. Según VirusTotal, sólo 15 de 41 motores antivirus.

Además, el kit incluye la descarga de los siguientes archivos maliciosos (que por el momento, también cuentan con una tasa de detección muy pobre):
Esta actividad se encuentra In-the-Wild hace un tiempo relativamente corto y constituye un peligroso vector de ataque que activamente se encuentra siendo utilizado por parte de los botmasters, y como hemos visto, con una efectividad llamativa.

Muchas gracias a la gente de MDL por la información

Información relacionada
DDoS Botnet. Nuevo crimeware de propósito particul...
T-IFRAMER. Kit para la inyección de malware In-the...
ZoPAck. Nueva alternativa para la explotación de v...
ZeuS Botnet y su poder de reclutamiento zombi
Eleonore Exploits Pack. Nuevo crimeware In-the-Wild
Mirando de cerca la estructura de Unique Sploits Pack
Adrenaline botnet: zona de comando. El crimeware ruso...
YES Exploit System. Otro crimeware made in Rusia
Barracuda Bot. Botnet activamente explotada
ElFiesta. Reclutamiento zombi a través de múltiples amenazas
Malware Domain List

Jorge Mieres

Ver más